概述ISO/IEC27001信息安全管理體系由引言、正文以及附錄三個部分組成。ISO/IEC27001信息安全管理體系的引言部分包括三個部分，即0.1總則、?0.2過程方法、?0.3與其他管理體系的兼容性?！?.1總則”描述了制定ISO/IEC27001信息安全管理體系的用途和應(yīng)用對象。為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系提供了模型。

這種模型:是高度概括的，也不正對具體的行業(yè)，因此標(biāo)準(zhǔn)中指出:按照組織的需要實(shí)施ISMS，是本標(biāo)準(zhǔn)所期望的。簡單的情況可以采用簡單的ISMS,這意味著應(yīng)用組織可以裁減使用。正文的第四章到第八章的內(nèi)容基本可以認(rèn)為是建立PDCA模型的過程。"0.2的過程方法”對過程、過程方法以及該標(biāo)準(zhǔn)所采用的PDCA模型進(jìn)行了描述。

標(biāo)準(zhǔn)開門見山地指明:本標(biāo)準(zhǔn)采用一種過程方法來建立、?實(shí)施、運(yùn)行、監(jiān)督、評審、保持和改進(jìn)-個組織的ISMS。這句話說明了本標(biāo)準(zhǔn)時采用的過程方法。

過程方法被廣泛的應(yīng)用于目前所流行的標(biāo)準(zhǔn)中，ISO/IEC27001信息安全管理體系所應(yīng)用的過程方法有其特別之處。

1、理解組織的信息安全要求和建立信息安全方針與目標(biāo)的需要

2、從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度,實(shí)施和運(yùn)行控制措施，以管理組織的信息安全風(fēng)險(xiǎn)

3、監(jiān)視和評審ISMS的執(zhí)行情況和有效性

4、基于客觀測量的持續(xù)改進(jìn)有很多現(xiàn)行的模型都可以滿足工程過程方法的要求，而本標(biāo)準(zhǔn)首先要滿足上述理解這四點(diǎn)時，應(yīng)該注意:

5、從組織的整體出發(fā)，不能為了安全而安全，基于此，組織對安全的需求是不同的，絕對的安全或者過度

的安全都是不必要的，甚至是浪費(fèi)的。

6、信息安全風(fēng)險(xiǎn)的管理必須考慮整體業(yè)務(wù)風(fēng)險(xiǎn)，因?yàn)樾畔⑾到y(tǒng)不是組織的全部,不去考慮整體的業(yè)務(wù)風(fēng)險(xiǎn)，就沒有站在組織的視角去理解信息安全，而且脫離整體業(yè)務(wù)考慮的控制，也不可能真正解決組織信息安全的問題。

7、注重監(jiān)視和評審，監(jiān)視和評審時持續(xù)改進(jìn)的基礎(chǔ)。如果缺乏對執(zhí)行的有效的測量。

華菱咨詢位于中國長三角、珠三角、京津冀和西南地區(qū)地區(qū)，成立于 2001 年,專注于標(biāo)準(zhǔn)體系咨詢、產(chǎn)品認(rèn)證咨詢、企業(yè)管理項(xiàng)目咨詢以及相關(guān)教育訓(xùn)練的顧問公司。公司已在北京、上海、杭州、廣州、深圳、合肥、江西、西安設(shè)立了分支機(jī)構(gòu)。

經(jīng)過20多年的發(fā)展與實(shí)踐沉淀，華菱咨詢將利用深厚的行業(yè)知識，幫助客戶把握新機(jī)遇，評估和管理風(fēng)險(xiǎn)，以實(shí)現(xiàn)負(fù)責(zé)任的增長。華菱咨詢高績效的跨學(xué)科團(tuán)隊(duì)可幫助客戶滿足監(jiān)管要求，確?？蛻?/strong>及時了解信息并滿足利益相關(guān)者的需求。華菱咨詢將為客戶提供全面的端到端的服務(wù)，利用技術(shù)的進(jìn)步真正推動業(yè)務(wù)的發(fā)展。

版權(quán)聲明：